Trojaner: TR/Vundo.Gen

Timon Wernas · 01.09.2009, 10:45

Liebe Trojaner Board Community,

ich habe gestern beim Versuch des downloads eines Programms ein trojanisches Pferd aufgegabelt.
AntiVir meldet folgendes:

In der Datei 'C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\kh1co595.default\Cache\9485443Cd01'
wurde ein Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Ich habe diverse Anleitungen im Internet versucht zu befolgen (bei trojaner board und beim AntiVir Forum).
Das HijackThis File scheint für die Lösung des Problems relativ wichtig deshalb hab ich das auch mal versucht hinzukriegen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:25:37, on 01.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\IPSSVC.EXE
C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe
C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
C:\Programme\IBM ThinkVantage\Common\Logger\logmon.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\ThinkPad\ConnectUtilities\SvcGuiHlpr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe
C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe
C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\IBM ThinkVantage\Client Security Solution\pwmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\hjt.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klassikradio.de/live-stream
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.unizh.ch:3128
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [suScheduler] C:\Programme\ThinkVantage\SystemUpdate\UCLauncher.exe /SCHEDULER
O4 - HKLM\..\Run: [LPManager] C:\PROGRA~1\THINKV~2\PrdCtr\LPMGR.exe
O4 - HKLM\..\Run: [cssauth] "C:\Programme\IBM ThinkVantage\Client Security Solution\cssauth.exe" silent
O4 - HKLM\..\Run: [PDService.exe] "C:\Programme\IBM ThinkVantage\SafeGuard PrivateDisk\pdservice.exe"
O4 - HKLM\..\Run: [ACTray] C:\Programme\ThinkPad\ConnectUtilities\ACTray.exe
O4 - HKLM\..\Run: [ACWLIcon] C:\Programme\ThinkPad\ConnectUtilities\ACWLIcon.exe
O4 - HKLM\..\Run: [BLOG] rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x092e -f video -m logitech -d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x092e -f video -m logitech -d 11.5.0.1145 (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Save YouTube Video - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP4.htm
O8 - Extra context menu item: Save YouTube Video as MP3 - res://C:\Programme\Gemeinsame Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com/de/de
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {76E5AF9D-2B3E-4FEB-A31F-A9E63A27FA29} (IASRunner Class) - https://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab
O16 - DPF: {C45B1500-7B63-47C2-AB25-C28CB46AFDEE} (MediaBar) - http://sib1.od2.com/common/musicmanager/installation/MusicManagerPlugin.CAB
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ACNotify - ACNotify.dll (file missing)
O20 - Winlogon Notify: ljJAqqOf - ljJAqqOf.dll (file missing)
O23 - Service: Ac Profile Manager Service (AcPrfMgrSvc) - Unknown owner - C:\Programme\ThinkPad\ConnectUtilities\AcPrfMgrSvc.exe
O23 - Service: Access Connections Main Service (AcSvc) - Lenovo - C:\Programme\ThinkPad\ConnectUtilities\AcSvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Diskeeper - Diskeeper Corporation - C:\Programme\Diskeeper Corporation\Diskeeper\DkService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: IPS-Basisservice (IPSSVC) - Lenovo Group Limited - C:\WINDOWS\system32\IPSSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ThinkPad HDD APS Logging Service (TPHDEXLGSVC) - Lenovo. - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
O23 - Service: TSS Core Service (TSSCoreService) - IBM - C:\Programme\IBM ThinkVantage\Client Security Solution\ibmtcsd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: TVT Backup Service - Unknown owner - C:\Programme\IBM ThinkVantage\Rescue and Recovery\rrservice.exe
O23 - Service: TVT Scheduler - Unknown owner - C:\Programme\IBM ThinkVantage\Common\Scheduler\tvtsched.exe
O23 - Service: ThinkVantage System Update (UCLauncherService) - Unknown owner - C:\Programme\ThinkVantage\SystemUpdate\UCLauncherService.exe

--
End of file - 13060 bytes

Ich hoffe das passt alles so und das ihr mir möglichst schnell weiterhelfen könnt.

Nach der ersten Meldung von AntiVir habe ich sicherheitshalber einen kompletten Systemcheck gemacht (konnte zwar nicht fertiggestelt werden da dann irgendwie alles zusammengebrochen ist), dabei kammen dann eigentlich nur noch folgende Meldungen:

In der Datei 'C:\WINDOWS\system32\awtqqPHX.dll'
wurde ein Virus oder unerwünschtes Programm 'ADSPY/Virtumonde.AA9' [adware] gefunden.
Ausgeführte Aktion: Zugriff verweigern

(natürlich immer mit verschiedenen Dateien)

Vielen Dank für eure Hilfe!

Liebe Grüsse

Chris4You · 01.09.2009, 10:54

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Programme\Ask.com\GenericAskToolbar.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

CCleaner:
Anleitung & Download: http://www.trojaner-board.de/51464-a...-ccleaner.html

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJAqqOf
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify

Files to delete:
C:\Programme\Ask.com\GenericAskToolbar.dll

Folders to delete:
C:\Programme\Ask.com

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll

Erweitertes Vorgehen:

Danach bitte MAM, RSIT und Gmer:

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter (http://filepony.de/download-rsit/)
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Gmer:
http://www.trojaner-board.de/74908-a...t-scanner.html
Den Downloadlink findest Du links oben (www.gmer.net/files), dort dann
auf den Button "Download EXE", dabei wird ein zufälliger Name generiert (den und den Pfad wo Du sie gespeichert hast bitte merken).
Starte GMER und schaue, ob es schon was meldet. Macht es das, bitte alle Fragen mit "nein" beantworten, auf den Reiter "rootkit" gehen, wiederum die Frage mit "nein" beantworten und mit Hilfe von copy den Bericht in den Thread einfügen. Meldet es so nichts, gehe auf den Reiter Rootkit und mache einen Scan. Ist dieser beendet, wähle Copy und füge den Bericht ein.

Chris

Timon Wernas · 01.09.2009, 16:47

Vielen Dank für die schnelle Antwort, soweit hat alles geklapt!!

Hier das Ergebnis von VirusTotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.01 -
AhnLab-V3 5.0.0.2 2009.09.01 -
AntiVir 7.9.1.7 2009.09.01 -
Antiy-AVL 2.0.3.7 2009.09.01 -
Authentium 5.1.2.4 2009.08.31 -
Avast 4.8.1335.0 2009.08.31 -
AVG 8.5.0.406 2009.09.01 -
BitDefender 7.2 2009.09.01 -
CAT-QuickHeal 10.00 2009.09.01 -
ClamAV 0.94.1 2009.09.01 -
Comodo 2124 2009.09.01 -
DrWeb 5.0.0.12182 2009.09.01 -
eSafe 7.0.17.0 2009.09.01 -
eTrust-Vet 31.6.6714 2009.09.01 -
F-Prot 4.5.1.85 2009.09.01 -
F-Secure 8.0.14470.0 2009.09.01 -
Fortinet 3.120.0.0 2009.09.01 -
GData 19 2009.09.01 -
Ikarus T3.1.1.68.0 2009.09.01 -
Jiangmin 11.0.800 2009.09.01 -
K7AntiVirus 7.10.833 2009.09.01 -
Kaspersky 7.0.0.125 2009.09.01 -
McAfee 5727 2009.09.01 -
McAfee+Artemis 5726 2009.08.31 -
McAfee-GW-Edition 6.8.5 2009.09.01 -
Microsoft 1.5005 2009.09.01 -
NOD32 4386 2009.09.01 -
Norman 2009.09.01 -
nProtect 2009.1.8.0 2009.09.01 -
Panda 10.0.2.2 2009.09.01 -
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.01 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.01 -
Sunbelt 3.2.1858.2 2009.08.31 -
Symantec 1.4.4.12 2009.09.01 -
TheHacker 6.3.4.3.393 2009.08.31 -
TrendMicro 8.950.0.1094 2009.09.01 -
VBA32 3.12.10.10 2009.09.01 -
ViRobot 2009.9.1.1911 2009.09.01 -
VirusBuster 4.6.5.0 2009.09.01 -
weitere Informationen
File size: 1144712 bytes
MD5...: ae66ad17d7c262beb09e85729598f51b
SHA1..: 6d53b652747639c8ab7049ea2dd301c217480f41
SHA256: 496ecbc533cca9c2e96fcdcc8bec61e197f5b83da4ceb8128c26d89027d868d5
ssdeep: 24576:KH88kHE9F+OUo+XLVBE+312H0AuXHn2oxZFd7eLLDGm3e54+009ThrNHQd
Vm3:PE9pt+XL3UU52qFdmLDZu54+04ThrNHb
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x9d405
timedatestamp.....: 0x4a38373e (Wed Jun 17 00:22:22 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xc3344 0xc3400 6.69 1fc37a7091eccf09694da07db11c2e48
.rdata 0xc5000 0x2ec73 0x2ee00 5.76 bb060244953c2a0e93bc4696f7bca315
.data 0xf4000 0xafe8 0x6600 4.54 d3ecea50b51725d0fc69640088108eca
.rsrc 0xff000 0xc150 0xc200 6.97 8bf081b95b1fba57c85b95a318c26541
.reloc 0x10c000 0x112ca 0x11400 5.20 43ebdae3358b13497173153324d22816

( 14 imports )
> VERSION.dll: GetFileVersionInfoSizeW, VerQueryValueW, GetFileVersionInfoW
> WININET.dll: InternetCrackUrlW, InternetOpenUrlA, HttpQueryInfoW, InternetReadFile, InternetCloseHandle, InternetOpenW
> KERNEL32.dll: TlsGetValue, GlobalReAlloc, TlsAlloc, TlsSetValue, LocalReAlloc, TlsFree, SetErrorMode, FileTimeToSystemTime, WritePrivateProfileStringW, GlobalFlags, DuplicateHandle, GetVolumeInformationW, FileTimeToLocalFileTime, GetFileSizeEx, GetFileTime, HeapFree, HeapAlloc, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, ExitThread, CreateThread, GetCommandLineA, HeapReAlloc, RtlUnwind, ExitProcess, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, HeapCreate, HeapDestroy, VirtualFree, GetStdHandle, GetModuleFileNameA, GetCPInfo, GetOEMCP, IsValidCodePage, LCMapStringW, LCMapStringA, GetTimeFormatA, GetDateFormatA, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetTimeZoneInformation, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, GetConsoleCP, GetConsoleMode, InitializeCriticalSectionAndSpinCount, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetEnvironmentVariableA, SetEnvironmentVariableW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GetProcessHeap, GlobalFindAtomW, CompareStringW, GlobalAddAtomW, ResumeThread, FreeResource, GlobalDeleteAtom, GetCurrentThread, ConvertDefaultLocale, EnumResourceLanguagesW, lstrcmpA, CompareStringA, InterlockedExchange, DeleteFileA, AreFileApisANSI, GetTempPathA, GetVersionExA, LockFileEx, FlushFileBuffers, ReadFile, GetFileAttributesA, FormatMessageA, GetSystemTimeAsFileTime, LockFile, UnlockFile, QueryPerformanceCounter, SetEndOfFile, SetFilePointer, GetFileSize, GetFullPathNameA, GetFullPathNameW, GetACP, LocalUnlock, LocalFree, LocalLock, LocalAlloc, GetVersionExW, FormatMessageW, GetLocaleInfoW, GetTempPathW, FindClose, FindFirstFileW, GetUserDefaultUILanguage, CreateProcessA, lstrcpyA, GetTickCount, SetThreadLocale, GetThreadLocale, DeleteFileW, LoadLibraryA, GlobalFree, GlobalHandle, CreateDirectoryW, GetSystemTime, OutputDebugStringW, lstrcpynW, CreateFileW, WriteFile, CreateFileA, lstrcatW, CreateProcessW, WideCharToMultiByte, DeleteCriticalSection, InitializeCriticalSection, WaitForSingleObject, CreateEventW, CloseHandle, Thread32Next, Thread32First, CreateToolhelp32Snapshot, GetCurrentProcessId, SetEvent, LoadLibraryExW, lstrcmpiW, FreeLibrary, InterlockedDecrement, InterlockedIncrement, lstrcpyW, Sleep, lstrlenA, lstrcmpW, MulDiv, GlobalUnlock, GlobalLock, GlobalAlloc, LockResource, LeaveCriticalSection, EnterCriticalSection, GetCurrentThreadId, FlushInstructionCache, GetCurrentProcess, OutputDebugStringA, GetModuleFileNameW, LoadLibraryW, GetFileAttributesW, GetVersion, GetModuleHandleA, SetLastError, FindResourceW, LoadResource, SizeofResource, MultiByteToWideChar, GetLastError, RaiseException, GetModuleHandleW, GetProcAddress, lstrlenW, InterlockedCompareExchange, IsProcessorFeaturePresent, HeapSize
> USER32.dll: LoadIconW, SendDlgItemMessageA, WinHelpW, GetClassLongW, SetPropW, GetPropW, RemovePropW, GetMessageTime, SetMenu, RegisterClassW, EqualRect, GetDlgCtrlID, GetMenu, SystemParametersInfoA, GetWindowPlacement, IsWindowEnabled, PeekMessageW, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, GetMenuState, GetSubMenu, DestroyCursor, GetClassInfoW, GrayStringW, DrawTextExW, TabbedTextOutW, SetForegroundWindow, GetLastActivePopup, LoadBitmapW, GetDialogBaseUnits, GetWindowDC, SetRect, KillTimer, SetTimer, GetKeyState, MessageBeep, FindWindowW, IsHungAppWindow, GetNextDlgTabItem, EnableWindow, GetAncestor, GetForegroundWindow, DrawTextW, GetSystemMetrics, DrawFrameControl, SystemParametersInfoW, LoadImageW, DialogBoxIndirectParamW, SetMenuItemInfoW, AppendMenuW, InsertMenuW, CreatePopupMenu, RemoveMenu, TrackPopupMenuEx, ModifyMenuW, PtInRect, GetCursorPos, IsIconic, IsWindowVisible, GetMenuItemInfoW, SetRectEmpty, DestroyMenu, MessageBoxW, wsprintfW, CheckMenuItem, GetMenuItemID, GetMenuItemCount, GetTopWindow, UpdateWindow, InflateRect, GetWindowThreadProcessId, CallNextHookEx, UnhookWindowsHookEx, SetWindowsHookExW, SetCursor, MessageBoxA, wsprintfA, PostQuitMessage, GetCapture, SetActiveWindow, DispatchMessageW, TranslateMessage, PostMessageW, GetMessageW, GetActiveWindow, WindowFromPoint, GetMessagePos, ShowWindow, CopyRect, IntersectRect, IsRectEmpty, OffsetRect, AdjustWindowRectEx, RegisterWindowMessageW, GetWindowTextLengthW, GetWindowTextW, BeginPaint, EndPaint, IsChild, GetFocus, SetFocus, IsWindow, GetClassNameW, GetSysColor, RedrawWindow, GetClassInfoExW, CreateAcceleratorTableW, PostThreadMessageW, RegisterClipboardFormatW, CharUpperW, GetNextDlgGroupItem, CopyAcceleratorTableW, GetSysColorBrush, UnregisterClassW, IsDialogMessageW, CreateDialogIndirectParamW, ClientToScreen, MoveWindow, SetCapture, ReleaseCapture, FillRect, InvalidateRgn, InvalidateRect, GetDC, ReleaseDC, GetDesktopWindow, DestroyAcceleratorTable, LoadCursorW, RegisterClassExW, SendMessageW, SendDlgItemMessageW, MapDialogRect, SetWindowContextHelpId, EndDialog, EnumChildWindows, CreateWindowExW, ScreenToClient, DestroyWindow, GetDlgItem, GetWindow, MonitorFromWindow, GetMonitorInfoW, GetWindowRect, GetParent, GetClientRect, MapWindowPoints, SetWindowPos, SetWindowTextW, CallWindowProcW, DefWindowProcW, GetWindowLongW, SetWindowLongW, CharNextW, UnregisterClassA, EnableMenuItem
> GDI32.dll: GetViewportExtEx, GetWindowExtEx, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, RestoreDC, ScaleWindowExtEx, ExtSelectClipRgn, GetMapMode, GetTextColor, GetRgnBox, SaveDC, SetMapMode, SelectObject, BitBlt, DeleteDC, GetStockObject, GetObjectW, GetDeviceCaps, SetBkMode, DeleteObject, CreateSolidBrush, Escape, TextOutW, RectVisible, PtVisible, EnumFontFamiliesExW, TranslateCharsetInfo, GetBkColor, GetCharABCWidthsW, CreateFontW, GdiFlush, CreateDIBSection, SetDIBits, GetDIBits, CreateBitmap, GetTextMetricsW, SetWindowOrgEx, OffsetWindowOrgEx, GetClipBox, CreateFontIndirectW, SetTextColor, CreateRectRgnIndirect, ExtTextOutW, SetBkColor, GetTextExtentPoint32W, CreateCompatibleDC, CreateCompatibleBitmap
> COMDLG32.dll: GetFileTitleW
> WINSPOOL.DRV: DocumentPropertiesW, ClosePrinter, OpenPrinterW
> ADVAPI32.dll: RegOpenKeyW, RegEnumKeyW, RegEnumValueW, RegSetValueExA, RegDeleteValueA, RegEnumValueA, RegCreateKeyExA, RegFlushKey, RegQueryValueExW, RegDeleteValueW, RegCreateKeyExW, RegSetValueExW, RegOpenKeyExW, RegEnumKeyExW, RegQueryInfoKeyW, RegCloseKey, RegDeleteKeyW, RegQueryValueW
> SHELL32.dll: ShellExecuteW, SHGetFolderPathW
> SHLWAPI.dll: StrStrIW, -, PathFindExtensionW, PathFindFileNameW, PathStripToRootW, PathIsUNCW, StrCmpNW
> oledlg.dll: OleUIBusyW
> ole32.dll: OleLockRunning, StringFromGUID2, OleIsCurrentClipboard, CreateILockBytesOnHGlobal, CoTaskMemAlloc, CoCreateInstance, CoRegisterMessageFilter, CoGetClassObject, CLSIDFromProgID, CLSIDFromString, OleInitialize, CoFreeUnusedLibraries, CoRevokeClassObject, CoTaskMemFree, CoTaskMemRealloc, CoInitialize, CoUninitialize, CoCreateGuid, StringFromCLSID, StgOpenStorageOnILockBytes, StgCreateDocfileOnILockBytes, CreateStreamOnHGlobal, OleUninitialize, OleFlushClipboard
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> gdiplus.dll: GdipDrawPath, GdipDeletePath, GdipCreatePath, GdipDeletePen, GdipCreatePen2, GdipSetLineSigmaBlend, GdipSetSmoothingMode, GdipAddPathLine, GdipCloneBrush, GdipAlloc, GdipFree, GdipDeleteBrush, GdipCreateLineBrushFromRectWithAngleI, GdipCreateFromHDC, GdipDeleteGraphics, GdipFillRectangleI, GdipCreateSolidFill

( 5 exports )
DllCanUnloadNow, DllGetClassObject, DllInstall, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)

Timon Wernas · 01.09.2009, 17:06

Hier noch die Resultate von The Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Programme\Ask.com\GenericAskToolbar.dll" deleted successfully.
Folder "C:\Programme\Ask.com" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJAqqOf" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ACNotify" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Timon Wernas · 01.09.2009, 22:01

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2725
Windows 5.1.2600 Service Pack 3

01.09.2009 22:01:18
mbam-log-2009-09-01 (22-00-27).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|R:\|)
Durchsuchte Objekte: 278663
Laufzeit: 3 hour(s), 16 minute(s), 13 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 15878

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a7a4dfc1-32c7-4a3c-bfac-21b526a00347} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PLayMP3z) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{a7a4dfc1-32c7-4a3c-bfac-21b526a00347} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP679\A0214007.exe (Trojan.Banker) -> No action taken.
C:\WINDOWS\system32\fccddaWM.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\geBspppp.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtUnklkI.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtUoMGYr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ddcCTmkj.dll (Trojan.Vundo) -> No action taken.
...
C:\WINDOWS\system32\yayyyywx.dll (Trojan.Vundo) -> No action taken.

Musste es leider kürzen da das Maximum an Zeichen erreicht wurde...
das sieht eher schlecht aus oder? ich weiss nicht ob der die gerade versucht zu löschen (war zumindest der Befehl), der Balken unten links macht keine Fortschritte...

Chris4You · 02.09.2009, 06:42

Hi,

MAM meldet No Action taken, hast Du alle Funde löschen lassen?

Wenn es zu Problemen kommt, bitte wie folgt vorgehen:

Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Danach noch mal MAM und alles bereinigen lassen (Full scan);

RSIT:
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

chris

Trojaner: TR/Vundo.Gen

Plagegeister aller Art und deren Bekämpfung: Trojaner: TR/Vundo.Gen